12 de marzo de 2011

ESCALADO DE PRIVILEGIOS EN “.NET Runtime Optimization Service”

Se ha publicado un nuevo 0-day para Windows 2003 R2, XP SP3 y Windows 7, aunque no se descartan otras versiones, para obtener privilegios de NT AUTHORITY\SYSTEM.

Detalle:

Un usuario local podría sustituir el fichero mscorsvw.exe (componente del Common Language Runtime el cual forma parte del Microsoft® .NET Framework) por otro que se ejecutaría con privilegios de SYSTEM al iniciarse el servicio para escalar privilegios.

Recomendación:

  • Se recomienda desactivar el servicio o modificar los permisos del fichero c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

Fuente: Inteco

APPLE CORRIGE 59 VULNERABILIDADES

Apple ha publicado actualizaciones para iOS, AppleTV y Safari que corrige 59 vulnerabilidades, para el sistema operativo iOS (usado por sus terminales iPod touch, iPhone e iPad).

  • Las vulnerabilidades podrían permitir revelación de información sensible, ejecución de código Javascript e inyección de código HTML, denegaciones de servicio y ejecuciones de código arbitrario por un atacante remoto.
  • La actualización ha corregido principalmente el componente WebKit, sobre el que se han solucionado 52 fallos de seguridad.
WebKit es el motor de renderizado HTML de código abierto utilizado, entre otros, por el navegador web Safari.

Recomendación:

  • Se recomienda actualizar a las versiones iOS 4.3, Safari 5.04 y Apple TV 4.2.

Fuente: Hispasec